GDPR: ¿qué es lo que progresa adecuadamente y qué necesita mejorar?

  • Normativa

Al cumplirse un año desde que se empezó a aplicar la nueva normativa de protección de datos europea (GDPR), es un buen momento para valorar su efectividad y pensar en posibles puntos de mejora. Lo hacemos de la mano de los expertos en seguridad de Entelgy.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

Este sábado se cumple un año de la entrada en vigor de la normativa y, según Laura Burillo, consultora de seguridad y protección de datos de Entelgy Innotec Security, se ha comprobado que las empresas que invierten en cumplimiento en materia de protección de datos están dotando a sus organizaciones de un plus de seguridad y confianza que se verá reflejada tanto en sus relaciones institucionales como comerciales. “Ahora es vital cumplir con las políticas de privacidad, ofreciendo información clara y sencilla al usuario y, en definitiva, poner en práctica todas los cambios normativos en materia de privacidad para asumirlo como una garantía de seguridad para todas las partes”, explica.

Como aspecto positivo, esta compañía subraya que se ha notado considerablemente el descenso de las comunicaciones comerciales indiscriminadas a través de campañas de marketing agresivo, al tener que contar con el consentimiento expreso del usuario. Y es que para adaptarse a GDPR, el 85% de las empresas tomaron medidas para actualizar los permisos, según un estudio elaborado por HubSpot, y esto hizo que desaparecieran numerosos envíos masivos de email marketing.

Por otro lado, los ciudadanos tomaron conciencia la importancia que tienen los datos personales, ya no sólo porque estén monetizados (nuestros datos valen dinero y las grandes compañías comercian con ellos), sino porque pertenecen a la esfera de nuestra privacidad e intimidad.

Pocas multas, pero importantes
Las multas era una de las mayores preocupaciones de las empresas ante la irrupción de GDPR. Éstas vienen establecidas en el artículo 83 del reglamento, concretamente plantea la posibilidad de sancionar las infracciones con multas administrativas de 10 y 20 millones de euros, pero sólo podrán suponer la cantidad equivalente al 2 o 4% como máximo del volumen de negocio total, con respecto al ejercicio anterior.

Ha habido pocas, pero importantes. Según Entelgy, la primera gran multa por incumplimiento de la normativa en toda Europa no tardó en llegar. Seis meses después de la entrada en vigor del reglamento, una organización portuguesa fue sancionada con 400.000 euros por permitir el acceso indebido a datos de los usuarios sin su consentimiento expreso. Por otro lado, una compañía alemana y otra austríaca fueron otras de las sancionadas, con una indemnización económica que superaba los 24.000 euros en total.

Aspectos a mejorar
Para esta compañía, la normativa europea deja algunos aspectos a libre interpretación para que los estados miembros también legislen, pero en muchas ocasiones en lugar de solucionar, aumenta el desconcierto. En este punto, cita que no deja claro a qué edad se puede otorgar el consentimiento el tratamiento, si a los 13 o a los 14 años, cuestión que queda resuelta después de la publicación de la ley española, LOPDGDD, que dice que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años, salvo en los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico. En caso de menores de 14 años, se requerirá el consentimiento del titular de la patria potestad o tutela, y sólo con el alcance que éstos determinen.

Más importante aún es que no define qué se considera tratamiento de datos a gran escala. GDPR no define lo que considera a gran escala, aunque el considerando 91 da algunas consideraciones y el Grupo de Trabajo del artículo 29 (el GT29) recomienda que se tengan en cuenta factores: el número de sujetos afectados, el volumen de datos, la duración o permanencia de la actividad de tratamiento de datos, y la extensión geográfica del tratamiento.

Para los expertos de Entelgy, GDPR ha sido un paso importante en la protección del usuario, pero insuficiente. “A día de hoy, cada vez que se presenta una situación compleja hay que analizar varios considerandos (tan importantes como los propios artículos) en relación con diferentes fuentes como el GT29, informes, resoluciones de la Agencia, etc., Por ello, es necesaria una redacción más clara, no tan abierta a la interpretación, dotando al reglamento de una mayor seguridad jurídica”, señalan.

Otro de los puntos a tener en cuenta es que en España se han olvidado de regular “las fuentes de acceso público” en la nueva LOPDGDD (cosa que sí estaba establecido en la antigua LOPD) y que tampoco figuran en el RGPD, pero que sí han hecho en otros países. A pesar de que el espíritu del Reglamento es homogeneizar las normativas comunitarias, otorga también libertad a los Estados Miembros para desarrollar estos conceptos abiertos a la interpretación y quizá no se consiga ese fin, sino que se aumente el desconcierto y la inseguridad en cuanto a la protección de datos.

Finalmente, Entelgy también sugiere que la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales 3/2018 de 5 de diciembre (LOPDGDD) no logró solucionar las lagunas de GDPR, e incluso fue polémica. En este sentido, recuerda el contenido su disposición adicional tercera, en referencia al artículo 58 bis de la Ley Electoral, cuyo apartado primero ha sido declarado recientemente contrario a la Constitución por el Pleno del Tribunal Constitucional.

En primer lugar, considera de interés público y, por tanto, legítima la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el ámbito de sus actividades electorales; en segundo lugar, considera legítimo el tratamiento de los datos personales obtenidos de páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral y en tercer lugar, no considera mercadotecnia el envío de propaganda electoral.